Privacy HUB

2022-02-14 08:49:50 #Санкции

ШТРАФ €900 000 ЗА "DATA SUBJECT ACCESS REQUEST"

Право доступа остается одним из самых сложно реализуемых прав для большинства организаций.

И если есть компании, которые это право реализуют для проформы, то есть и те, которые, видимо, стараются слишком сильно.

Так сильно, что передают персональные данные мошенникам, за что потом получают штрафы.

Как например, Telefónica móviles España, которые схлопотали €900 тысяч.

Что произошло?

Испанские мошенники нашли интересную лазейку - они прикидывались субъектами персональных данных и требовали копию SIM карты.

Telefónica не проводила надлежащую верификацию и в результате SIM карты ничего не подозревающих людей попадали в руки к мошенникам.

Это в свою очередь, позволяло последним заключать различные сделки и проводить разного рода транзакции.

Что было нарушено?

В первую очередь принцип целостности и конфиденциальности - 5.1.f.

Когда нарушается этот принцип, то сразу же нарушается и 32 (безопасность обработки) и, в большинстве случаев, 25 (проектируемая приватность).

ИТОГИ

Не нужно слепо реализовывать требования Регламента.

Если есть требование предоставить информацию - это не значит, что ее нужно предоставлять кому-угодно.

Но это и не значит, что для верификации нужно запрашивать фото с паспортом.

Реализуйте DSAR осознанно - придумайте систему верификации пользуясь теми данными, которые вам доступны.


Спасибо, что вы с нами.


Если хотите нас поддержать, станьте нашим патроном прямо сейчас.

________________
Источник:
Решение AEPD (испанский язык) Открыть/Комментировать

2022-02-11 09:10:49 #персональное_чтиво

ЭПОХА КАПИТАЛИЗМА НАДЗОРА: ОБЗОР КНИГИ

Новая пятница - новая рубрика!

В этом сезоне пятничных постов ловите обзоры книг о защите приватности, которые нам довелось повстречать за последние годы.
 
По мнению гарвардского профессора Шошанны Зубофф, мы живём в эпоху надзорного капитализма.

Именно об этом она и написала свой фундаментальный труд "The age of surveillance capitalism».

Спойлер
 
Перед вами поистине академическая работа по теме, почему постоянная погоня за предсказыванием поведения может привести к потере контроля человека за собственной жизнью.
 
Капитализм надзора - это естественная цепь развития капитализма в погоне за прибылью и концентрацией силы.

Сама модель капитализма предусматривает постоянную оптимизацию и соревнование с конкурентами, что ведёт к нужде во всё более точных решениях и данных, на которых решения основываются.
 
Территории, для которых нет карт
 
До недавних пор онлайн пространство не регулировалось существенным образом, как это происходит в физическом пространстве.

Более того, в США по-прежнему ощущаются последствия дерегуляции рынка еще 70-х годов.

Например, в США по-прежнему нет национального закона о защите персональных данных.
 
Как следствие, неизведанные территории киберпространства и данных на полях захватываются IT-гигантами для оптимизации и всё большей прибыли.

Авторка выделяет несколько главных заинтересованных групп капитализма надзора: Google, Facebook, Microsoft, Amazon, Телеком-компании, и, конечно же, гос и спецслужбы, которые могут и рады использовать произведённый излишек данных в собственных интересах.
 
ЦРУ и Google

Особенно интересно читать, насколько переплетены между собой спецслужбы США и Google:
Google Earth - это бывший проект ЦРУ, который сегодня развивает Google;
ЦРУ является инвестором в множестве проектов Google;
Обе корпорации (кто знает, где ЦРУ называли Центральной Разведывательной Корпорацией?) также иногда инвестируют в общие проекты.
 
Где деньги, Билли?

В книге парируется распространённый аргумент о том, что если вы не платите за онлайн-сервис, то конечный продукт - это вы сами.

Корпорации куда более заинтересованы в сборе детального профиля пользователя и построения сервисов на этих данных.
 
Пользователями собранных данных и сервисов, построенных на их основе, становятся все сектора без исключения, а не только безобидный "eCommerce", как принято думать.

Таргетинг прихожан церкви? Пожалуйста.
Манипуляция мнением избирателей? Обычное дело.
Политические репрессии за пост в социальных сетях? Это же публичная информация.
 
Big brother v. Big Other
 
Тоталитаризм (и Big Brother) - это прошлый век.

Да здравствует инструментализм (и Big Other) - порядок, при котором путём поведенческих технологий (подталкивания, тёмные паттерны) человека дёргают за ниточки и манипулируют "свободой" воли.

А вы верите в свободу воли?
 
Стадии становления инструментализма
 
Стадия 1. Изучение: сбор детального профиля человека
 
Стадия 2: Предсказывание действий человека
 
Стадия 3: Манипуляция действиями человека
 
ИТОГ
 
Писательница провела глубочайший анализ того, как инвазивные технологии воздействуют на формирование личности человека, возможность реализации наших прав, и какие от этого могут быть долгосрочные последствия.
 
Однозначно рекомендуем к прочтению!
 
P.S.
В 2017 году Шошанна Зубофф сделала ставку на европейский GDPR, как возможность поменять ситуацию, но говорит, что это не панацея.

В меню к GDPR идут такие лекарства, как отказ играть по правилам игры bigtech, деятельность некоммерческих и академических организаций, массовая огласка нарушений, а также создание альтернативных технологий.
 
"With little resistance from law or society, surveillance capitalism is on the verge of dominating the social order and shaping the digital future -- if we let it."


Спасибо, что вы с нами.


Если хотите нас поддержать, станьте нашим патроном прямо сейчас.

________________
Источник:
Вебсайт автора Открыть/Комментировать

2022-02-09 09:10:02 #Аналитика

META УХОДИТ ИЗ ЕС?

Европейские регуляторы продолжают закручивать гайки компаниям, которые передают персональные данные резидентов ЕЭЗ в США.

Недавно под удар попала Google Analytics и, похоже, на фоне этих событий, МЕТА не исключает возможность ухода с европейского рынка.

Что происходит?

С тех пор как “Schrems II” аннулировал, так называемый, Privacy Shield передавать персональные данные в США из ЕЭЗ стало значительно труднее.

Как вы сами понимаете, сервера на которых МЕТА обрабатывает данные пользователей находятся именно в Штатах.

Судя по всему использовать сервера на территории ЕЭЗ слишком затратно.

Потому небезызвестный владелец сети предупреждает о том, что Facebook, Instagram и другие продукты МЕТА не будут доступны в Европе, если нормотворцы не придумают новый механизм передачи персональных данных.

Комментарий Facebook?

Представители социальной сети не подтвердили, но и не опровергли тезисы своего лидера.

Однако, VP of Global Affairs and Communications Ник Клегг провел ряд аналогий, которые, по его мнению, уместны, в контексте трансграничной передачи данных.

Например: “Французский ретейлер не сможет обслуживать колцентр в Марокко”, “Испанская компания не сможет проводить деятельность в нескольких часовых поясах”.

Однако, VP все же считает, что бизнесу нужны понятные глобальные правила, которые обеспечили бы долгосрочные потоки данных.

Что дальше?

Скорее всего, МЕТА не покинет рынок ЕС и будет продолжать обрабатывать данные европейцев в США используя, например те же SCC.

Но, возможно, заявление такого большого игрока подстегнет нормотворцев скорее разработать новый механизм трансграничной передачи данных. А может и наоборот, не подстегнет...

Будем следить за ситуацией и держать вас в курсе!


Спасибо, что вы с нами.


Если хотите нас поддержать, станьте нашим патроном прямо сейчас.

________________
Источник:
Mark Zuckerberg and team consider shutting down Facebook and Instagram in Europe if Meta can not process Europeans’ data on US servers Открыть/Комментировать

2022-02-07 09:12:46 #Санкции

КОЛЛАПС ОНЛАЙН РЕКЛАМЫ В ЕС?

Бельгийский регулятор по защите данных (APD) опубликовал 127-страничное решение с 572 пунктами о том, что Transparency & Consent Framework (TCF), разработанный ассоциацией IAB Europe, не соответствует GDPR.

APD наложил на ассоциацию штраф в размере 250 000 евро, дал IAB Europe два месяца на то, чтобы представить план действий по приведению своей деятельности в соответствие с GDPR, и самое страшное - все данные, собранные посредством TCF, были получены незаконно и подлежат уничтожению.

Решение затронет тысячи компаний, которые состоят в ассоциации IAB Europe, и занимаются онлайн рекламой, в том числе Google, Amazon и Microsoft.

Что произошло?

IAB Europe была создана с тем, чтобы рекламодатели и рекламные площадки действовали единообразно и подчинялись требованиям местных законов.

Для этого был разработан единый механизм TCF: при заходе на сайты пользователи видели всплывающие окна, запрашивающие согласие на обработку данных.

Данные пользователя собирались на различных ресурсах и включали детальную информацию, которая представлялась в формате TC String (метаданные и бинарное значение – п. 301 решения).

Эти данные предоставлялись неограниченному кругу лиц и обрабатывались системой RTB (Real-Time Bidding) — аукционом с автоматическими ставками в реальном времени, определяющим, какая реклама демонстрируется пользователям на площадке.

Позиции сторон?

IAB Europe считает, что предпочтения пользователей в коде TC String не являются персональными данными.

Регулятор с этим не согласился и заявил, что с помощью этих данных можно идентифицировать конкретное физическое лицо (п. 309-310 решения).

Также IAB Europe не рассматривала себя контролёром и всю ответственность оставляла на рекламодателях и платформах.

Регулятор же определил, что все участники TCF и сама ассоциация являются общим контролёром (п. 370, 402 решения), поскольку они все пользователи общей экосистемы TCF и каждый имеет ту или иную роль, которая реализуется в общей цели функционирования TCF.

Что было нарушено?

Регулятор нашел нарушение ряда статей:

5.1.а и 6.1 - Законность
Ассоциация использовала легитимный интерес в TCF, чтобы создать рекламный профиль субъектов данных и показывать им персонализированную рекламу – п. 50 и стр. 115 решения;

9.1 и 9.2 - Обработка специальных категорий персональных данных
Пользователи посещали религиозные и политические сайты, что подпадает под чувствительные данные, и могли видеть соответствующую рекламу – п. 51 решения - данное нарушение было найдено службой инспекторов, но отменено процессуальной палатой - п. 502;

12.1, 13, 14 - Неоднозначность
Информация, которая должна быть предоставлена субъекту данных, была только на английском, неточной и включала абстрактные термины – п. 54, 55 решения;

 24.1 - Ответственность контроллера данных
Роль ассоциации была определена некорректно;

 25, 5.1.f, 32.1 и 32.2 - Безопасность обработки
Система TCF не надежна и может быть использована для создания “фейковых” согласий - стр. 116 решения

30 - ROPA
Ассоциация посчитала, что подпадает под исключение вести ROPA, хотя это не так – п. 59 решения;

31 - Сотрудничество с надзорными органами
Ассоциация медленно отвечала с задержками и не сразу предоставляла информацию - данное нарушение было найдено службой инспекторов, но не указывается в решении процессуальной палаты;

35 - DPIA
Не был проведён, хотя обработка масштабная, включала анализ поведения и автоматическую обработку - стр. 117 решения;

37 - Назначение сотрудника по защите данных
Сотрудник не был назначен, хотя обязана была назначить из-за масштабной обработки - стр. 117 решения)


Спасибо, что вы с нами.


Если хотите нас поддержать, станьте нашим патроном прямо сейчас.

________________
Источник:
Текст решение APD Открыть/Комментировать

2022-02-04 09:04:22 #Аналитика #аКакУнас

КАК ПРАВИЛЬНО ИСПОЛЬЗОВАТЬ ДРОНЫ В УКРАИНЕ?

День защиты персональных данных прошел плотно.

Пока одни ребята презентовали книгу, другие - презентовали ряд разъяснений на тему видеонаблюдения.

И если о книге вы уже кое-что слышали, то рекомендации Уполномоченного касательно правильного (с точки зрения приватности) использование дронов мы сейчас расскажем. 

Как урегулирован вопрос дронов с видеокамерами?

Прямо - никак.

Но, так или иначе, эту тему раскрывают:
Воздушный кодекс
Положение об использовании воздушного пространства 
Профильный закон 
Гражданский кодекс

Когда к дронам с камерами применяется Закон Украины о ЗПД?

видео (или части видео) публикуются в интернете, где его могут просмотреть неограниченное количество лиц
дрон используется для мониторинга дорожной ситуации/покрытия
дроны используются для доставки товаров
дрон используется для “сельхоза”, картографии, геодезии, лесничества и т.п.

Если будете использовать дрон для журналистских целей - не забудьте о балансе права на свободу выражения взглядов и права на приватность.

В частности, текст рекомендует размыть лица, или силуеты людей на видео.

Когда использование дронов не попадает под ЗУ о ЗПД?

Хоть наш закон и не оперирует термином “household exemption”, в этом разъяснении оно фактически присутствует.

Если вы снимаете дроном и планируете показывать запись ограниченному кругу близких лиц, то можете не переживать. 

Как правильно снимать дроном и не нарушать право на приватность других лиц?

Гайд предлагает 7 простых шагов, которые помогут вам правильно снимать ландашафты с высоты птичьего полета и не нарушать права других лиц:

Оцените, насколько вам нужны “чужие” люди в кадре.

Если вы делаете дроно-селфи с друзьями и в кадр попадают другие люди - не забудьте их об этом предупредить.

Учитывайте место где используете дрон.

Помните, что в объектив могу попадать частные, или режимные территории - решительно избегайте залета на них.

Также, не хулиганьте и не заглядывайте дроном в окна квартир.

Изучите фукционал дрона.

Обратите внимание на качество изображения, на диапазон масштабирования, узнайте контролируете ли вы момент начала съемки, избегайте онлайн трансляций и автоматического подключения к Wi-Fi сетям.

Спланируйте маршрут дрона.

Если вы заранее будете знать как лететь, то и вероятность попасть на чужую территорию будет ниже.

Будьте рядом с дроном и держите его в поле зрения.

Быть рядом важно, так как это поможет другим людям понять кто ведет видеосъемку и, в случае чего, подойти к вам и узнать детали съемки.

Позаботьтесь о сохранности видео, если потребности в видео нет - удаляйте.

Оцените возможные последствия публикации видео с дрона.

Помните, что по общему правилу не стоит публиковать фото или видео других людей без их разрешения.

Как снимать для коммерческих целей?

Гайд предлагает выделить пилота дрона специальной формой, а место съемки ограничить специальным мобильными предупредительными знаками, которые будут сообщать о проведении съемки.

Не забудьте, что вам, также, понадобиться корректное правовое основание и разумные технические/организационные меры защиты данных

Как сохранить свою территорию от съемки дронов?

Как вариант, предлагается вывесить на заборе своей территории табличку о том, что за парканом находится частная собственность и летать дронам над ней нельзя. 

Куда обращаться если нарушили ваши права?

В первую очередь, гайд рекомендует обратиться непосредственно к лицу, которое вело съемку.

Но, также вы можете обратиться к Уполномоченному, или же в суд. 


Спасибо, что вы с нами.


Если хотите нас поддержать, станьте нашим патроном прямо сейчас.

________________
Источник:
Текст разъяснения Уполномоченного ВРУ по правам человека Открыть/Комментировать

2022-02-02 09:03:57 #Аналитика

РУКОВОДСТВО EDPB 01/2022 О ПРАВЕ ДОСТУПА

19.01.2022 EDPB принял Руководство о праве доступа (ст. 15 GDPR), предоставляющее лицу право запрашивать у контролёра подтверждение, обрабатываются его персональные данные, право на доступ к ПД и иной информации.

Руководства в публичном обсуждении, т.е. не в финальной версии и любой может оставить комментарии к Руководству до 11.03.2022 на сайте EDPB.

В конце Руководств - схемы, что делать с запросами.

КЛЮЧЕВЫЕ МОМЕНТЫ

Право доступа не равно другим правам, которые регулируются другими актами (напр., доступ к публичным документам).

Право доступа включает:
Подтверждение, обрабатываются ли ПД о лице,
Доступ к этим ПД и
Доступ к информации об обработке: цель, категории ПД и получатели, срок, права субъектов и гарантии при передаче в третью страну.

При анализе запроса контролер должен оценить, касается ли запрос ПД лица, делающего запрос, подпадает ли запрос под ст. 15 и есть ли другие нормы в законах о доступе.

Он должен оценить, относится ли запрос ко всем или только к некоторым ПД.

Особых требований к форме запроса нет.

Контролёр должен дать удобные для лица каналы связи, которые легко использовать.

Лицо не обязана использовать только эти каналы и может отправить запрос официальному контактному лицу.

Контролёр не обязан действовать по запросам, отправленным на случайные или неправильные адреса.

Если контролер не может идентифицировать ПД, которые относятся к лицу, он должен сообщить об этом, и может отказать в предоставлении доступа, если лицо не предоставит информацию, позволяющую идентифицировать его.

Если у контролёра есть сомнения, контролёр должен запросить информацию, чтобы подтвердить личность.

Запрос информации должен быть пропорционален типу обрабатываемых ПД, возможному ущербу и т. д., чтобы избежать чрезмерного сбора ПД.

Объем ответа на запрос может включать широкий спектр ПД:
медицинские заключения,
история покупок,
показатели кредитоспособности,
журналы активности,
поисковые действия,
псевдонимизированные данные.

Запрос не должен интерпретироваться ограниченно и может включать данные, которые могут касаться и других лиц (напр. историю общения с входящими и исходящими сообщениями).

Фактически запрос включает элементы, которые контролёр должен выполнять по ст. 13, 14 и 30 GDPR (privacy notice и ROPA), но ответ на запрос может включать более детальную и обновленную информацию, нежели ту, что находится в уведомлении и ROPA.

Если не указано иное, запрос следует понимать относящимся ко всем ПД, касающихся лица, и контролёр может попросить лицо детализировать запрос, если он обрабатывает большой объем ПД.

Контролёру придется искать ПД во всех ИТ-системах и архивах, на основе критериев поиска, которые отражают способ структурирования данных (напр. имя и номер клиента).

Предоставление ПД должно быть ​​в краткой, прозрачной, понятной и легкодоступной форме, с использованием ясного и простого языка.

Точные требования зависят от обстоятельств обработки, а также от способности лица понять сообщение (напр., ребенок).

Если ПД - это код или другие «сырые данные», то возможно, их придется объяснить, чтобы они были понятны.

Используйте многоуровневый подход к предоставлению данных, если их много, чтобы лицу было понятнее, какие ПД к чему относятся.

Отвечайте на запрос как можно скорее и не позднее одного месяца с момента получения.

Можно продлить ещё на два месяца, но нужно об этом сообщить лицу.

Предоставлять также нужно ПД, которые готовятся удалять, незаконные и неточные ПД.

Доступ не абсолютный и может ограничиваться правами других.


Спасибо, что вы с нами.


Если хотите нас поддержать, станьте нашим патроном прямо сейчас.

____________
Источник:
Guidelines 01/2022 “Right of access” Открыть/Комментировать

2022-01-31 09:07:31 #ДайджестМесяца

ДАЙДЖЕСТ ЗА ЯНВАРЬ

Этим фото мы говорим “спасибо” всем, кто разделил с нами радость релиза GDPR-книги или просто поддерживает нашу деятельность :)

В благодарность мы с удовльствием делимся слайдами презентации с мероприятия.

Если вы всё ещё не успели, то книгу можно заказать у  @v_for_void.

РЕЙТИНГ ТЕКСТОВ ПРОШЛОГО МЕСЯЦА
 
#Санкции
ШТРАФ 608К ЕВРО ЗА УТЕЧКУ ДАННЫХ ПАЦИЕНТОВ
ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ НАРУШИЛ “ИНСТИТУЦИОНАЛЬНЫЙ GDPR”
GOOGLE АНАЛИТИКА ВНЕ ЗАКОНА?
ШТРАФ €26.5 МИЛЛИОНОВ ЗА ПЛОХОЙ МАРКЕТИНГ
 
#Аналитика
МОЖЕТ ЛИ ПРОЦЕССОР ОСТАВИТЬ ДАННЫЕ КОНТРОЛЁРА ДЛЯ СВОИХ ЦЕЛЕЙ?
 
#ДеньИзЖизниDPO
ДЕНЬ ИЗ ЖИЗНИ DPO: ЭПИЗОД 1
ДЕНЬ ИЗ ЖИЗНИ DPO: ЭПИЗОД 2
ДЕНЬ ИЗ ЖИЗНИ DPO: ЭПИЗОД 3
ДЕНЬ ИЗ ЖИЗНИ DPO: ЭПИЗОД 4



Спасибо, что вы с нами.


Если хотите нас поддержать,
станьте нашим патроном прямо сейчас! Открыть/Комментировать

2022-01-28 11:46:54 Пока ДПО Богдан справляется с трудовыми буднями и поисками, редакция канала получила от издательства все экземпляры первого тиража книги!

Все, кто зарегистрировался на мероприятие сегодня в 19:00: ещё раз проверьте почтовый ящик и спам-отделение за приглашением или напишите нам, если приглашение не получили.

Все, кто не успел зарегистрироваться, так как регистрация уже закрыта: закажите свой экземпляр книги у @v_for_void.

От имени редакции поздравляем вас с Международны Днём Приватности!

P.S. Ситуативное НЮ от Димы - это попытка показать Privacy Man-а, нарисованного у него на фтуболке. Не видно, а он там есть! Открыть/Комментировать

2022-01-28 08:48:28 #ДеньИзЖизниDPO

ДЕНЬ ИЗ ЖИЗНИ DPO: ЭПИЗОД 4

Поздравляем с днём приватности и защиты персональных данных, коллеги!

Желаем исполняющихся запросов об обработке данных, удачных проектов, правильно подобранных оснований для обработки, простоты политик приватности, надежных процессоров, законных трансферов и Privacy by design в каждом продукте! 

Сегодня финальный эпизод первого сезона телеграм-сериала #ДеньИзЖизниДПО.

Делитесь вашими впечатлениями и (обезличенными) историями в нашем ламповом чатике.

DPO И ЕГО РАБОТА МЕЧТЫ

Все прайвасисты в какой-то момент жизни осознают, что нельзя всю жизнь писать privacy and cookie policies.

На самом деле, зачем было получать CIPP/E, если ты большую часть рабочего времени составляешь политики приватности? 

ДПО Богдану пришла мысль, что пора двигаться в сторону проектов, где требуется написание других более серьезных документов, например, Data Protection Impact Assessment.

На текущей работе такие задачи для “взрослых” почти никогда не появляются и ожидать каких-либо изменений в будущем вряд ли стоит.

Кажется, что пора искать новую работу, где он будет стремительно развиваться как специалист по защите персональных данных.

ДПО Богдан открыл вкладку с сайтом вакансий и начал искать открытые позиции Privacy Lawyer.

Он приметил первую подходящую вакансию, которая требует от кандидата “regularly conduct and review PIAs, DPIAs, Vendor Risk and Transfer Impact Assessments”.

Звучит прекрасно, но какие данные они обрабатывают, если требуются такие документы?

На секундочку, простыми словами Privacy Impact Assessment (PIA) - это оценка privacy рисков нового или существующего проекта, нацеленная на уменьшения негативного воздействия, связанного с обработкой персональных данных.

Проведение Data Protection Impact Assessment (DPIA) часто требуется в случае обработки чувствительных данных (например, медицинской информации) с целью идентификации рисков и мер для их минимизации.

«Vendor Risk and Transfer Impact Assessment» помогает оценить риски и законность передачи данных третьим сторонам в юрисдикциях, где уровень защиты персональных данных может быть недостаточно высок.

Изучив вакансию более детально, стало ясно, что возможность усилить свою privacy команду ищет один из самых посещаемых сайтов в мире - Pornhub.

С данными касательно сексуальной жизни и ориентации ДПО Богдан еще не успел поработать.

Вообще сложно представить, как выглядит составление DPIA в такого рода компании.

Опыт работы в такой компании будет смотреться солидно в резюме.

Однако не стоит рассчитывать на то, что попасть туда будет легко, поэтому нужно искать дальше.

Много вакансий требуют от кандидатов наличие одного или больше сертификатов в сфере privacy, а именно CIPP/E, CIPM и CIPT от IAPP (The International Association of Privacy Professionals).

Кстати, IAPP - это самое большое комьюнити прайвасистов в мире, которое способствует развитию профессии специалистов по защите персональных данных.

Чтобы существенно повысить свои шансы на получение хорошей позиции, желательно как можно скорее пополнить свою коллекцию privacy сертификатов.

Ведь сейчас наличием CIPP/E мало кого можно удивить. 

Получить сертификат можно, если успешно сдать соответствующий экзамен, который стоит немалых денег.

Честно говоря, язык не поворачивается назвать IAPP некоммерческой организацией, особенно если внимательно изучить цены на экзамены и другие регулярные взносы, без которых невозможно получить статус сертифицированного специалиста.

В тот день ДПО Богдан подался на десяток вакансий.

Спустя несколько дней ему посчастливилось забукать два собеседования на позицию Privacy Counsel.

Давайте пожелаем ему и другим privacy professionals найти работу мечты!

______
Спасибо, что вы с нами.
Если хотите нас поддержать, станьте нашим патроном прямо сейчас. Открыть/Комментировать

2022-01-26 09:01:14 #Аналитика

МОЖЕТ ЛИ ПРОЦЕССОР ОСТАВИТЬ ДАННЫЕ КОНТРОЛЁРА ДЛЯ СВОИХ ЦЕЛЕЙ?

Перед разбором сегодняшней аналитики, мы бы хотели поблагодарить всех, кто зарегистрировался на ламповую презентацию нашей первой книги “GDPR: посібник з виживання”, которая пройдет уже в эту пятницу, 28 января в 19:00!

Мы разослали пригласительные письма всем, кто оставил электронную почту. Если вы не получили подтверждение, просим проверить спам либо написать нам, чтобы убедиться, что в оставленном электронном адресе не было ошибок.

Мы были вынуждены закрыть регистрацию ввиду ограниченного количества мест на локации. 

Но не расстраивайтесь!

После большого количества броней мы в два раза увеличили первичный тираж, поэтому свой экземпляр всё ещё можно забронировать у @v_for_void. 

А теперь - к теме поста.

Один из самых популярных вопросов от процессоров персональных данных - “А можем ли мы оставить данные нашего клиента себе?”.

Несколько примеров, зачем это процессору:

улучшение собственных услуг и алгоритмов на основании полученных данных;

подготовка аналитики на основании клиентских данных с тем, чтобы потом опубликовать её и/или продавать другим клиентам;

построение новых продуктов и сервисов на основании полученных данных.

По общему правилу процессору обрабатывать данные в своих целях нельзя, иначе он:
нарушит инструкции контролёра
выйдет за сферу своих полномочий
потеряет роль процессора
не будет иметь оснований для обработки
нарушит несколько десятков контрактных обязательство, а также ст. 28 GDPR, just to name a few.

Но везде есть свои лазейки!

Так говорит нам французский регулятор.

Сегодня даём обзор руководства по тому, как процессор может сохранить данные от контролёра для своих целей.
 
Главное условие
 
Контролёр должен дать разрешение процессору на использование данных для его собственных целей.

Разрешение должно быть обязательно в письменной (электронной) форме.

Это можно сделать с помощью отдельного положения в Data Processing Agreement.

Исключения, когда авторизация не нужна: 

субъект данных дал согласие на обработку данных процессором для своих целей;

процессор обязан обработать данные в соответствии с требованием европейских законов (например, для отчётности).
 
Условия для главного условия

Собственные цели процессора должны быть совместимы с изначальными целями обработки (ст. 5, принцип ограничения цели).

Для этого контролёр (не процессор) обязан провести тест на совместимость, оценив:

есть ли связь между изначальной обработкой и вторичной целью;

контекст обработки и природу персональных данных (например, являются ли данные чувствительными);

возможные последствия для субъекта данных и защитные механизмы процессора, которые минимизируют риск негативных последствий.

Пример совместимости: процессор использует анонимизированные данные для улучшения облачных услуг.

Пример несовместимости: коммерческое использование данных процессором, как, например, их продажа.

Общее разрешение не будет законным.

Промутить как с разрешением на субпроцессоров не получится: на каждый re-use данных контролёр обязан проводить отдельный тест и давать специальное соглашение.

Контролёр обязан уведомить субъектов данных о дальнейшей обработке процессором и дать им возможность opt-out (возразить против передачи).

Это обязательство может быть делегировано процессору, который собирается обрабатывать данные, но стоит помнить, что юридически обязательство находится на изначальном контролёре.
 
Процессор остаётся процессором?
 
Нет. Старый процессор стал новым контролёром, со всеми вытекающими в виде:

юридических оснований для обработки;
Privacy Notice;
правами субъектов данных;
сроками хранения;
информационной безопасности;
и другими требованиями GDPR для контролёров.

Спасибо, что вы с нами.
Если хотите нас поддержать, станьте нашим патроном прямо сейчас.

________________
Источник:
Sous-traitants : la réutilisation de données confiées par un responsable de traitement Открыть/Комментировать